1、仅仅通过配置文件来指定权限不够灵活,并且不方便,在实际的应用中大多数情况下都是将用户信息,角色信息,权限信息保存到了数据库中。所以需要从数据库中去获取相关的数据信息。可以使用shiro提供的JdbcRealm来实现,也可以自定义Realm来实现。使用JdbcRealm往往也不够灵活。所以在实际应用中大多数情况下都是自定义realm来实现。
2、自定义Realm需要继承AuthorizingRealm,代码如下:
1 package com.sun123.realm; 2 3 import java.util.ArrayList; 4 import java.util.List; 5 6 import org.apache.shiro.authc.AuthenticationException; 7 import org.apache.shiro.authc.AuthenticationInfo; 8 import org.apache.shiro.authc.AuthenticationToken; 9 import org.apache.shiro.authc.SimpleAuthenticationInfo; 10 import org.apache.shiro.authz.AuthorizationInfo; 11 import org.apache.shiro.authz.SimpleAuthorizationInfo; 12 import org.apache.shiro.realm.AuthorizingRealm; 13 import org.apache.shiro.subject.PrincipalCollection; 14 15 public class UserRealm extends AuthorizingRealm { 16 17 /** 18 * 自定义realm的实现 该realm类提供了两个方法 19 * doGetAuthorizationInfo 获取认证信息 20 * doGetAuthenticationInfo 获取权限信息 21 */ 22 @Override 23 public String getName() { 24 // 自定义 25 return "userRealm"; 26 } 27 28 // 完成身份认证,并且返回认证信息 29 // 如果身份认证失败,返回null 30 @Override 31 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { 32 // 获取用户输入的用户名 33 String username = (String) token.getPrincipal();// 获取身份信息 34 System.out.println("username:" + username); 35 // 根据用户名到数据库查询密码信息——模拟 36 // 假定从数据库获取的密码为1111 37 String pwd = "1111"; 38 // 将从数据库中查询的信息封装到SimpleAuthenticationInfo中 39 SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, pwd, getName()); 40 return info; 41 } 42 43 // 授权的信息 44 @Override 45 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) { 46 String username = principal.getPrimaryPrincipal().toString(); 47 System.out.println("授权————————————————————————"); 48 System.out.println("username==========="+username); 49 //根据用户名到数据库查询该用户对应的信息——————模拟 50 List<String> permission = new ArrayList<String>(); 51 permission.add("user:add"); 52 permission.add("user:delete"); 53 permission.add("user:update"); 54 permission.add("user:find"); 55 56 SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); 57 for (String perms : permission) { 58 info.addStringPermission(perms); 59 } 60 return info; 61 } 62 63 }
shiro.ini
1 [main] 2 userRealm=com.sun123.realm.UserRealm 3 securityManager.realm=$userRealm 4 #在realm中给定了用户信息,该用户信息可以不用配置 5 [users] 6 zhangsan=1111
测试代码:
1 package com.sun123.shiro; 2 3 import org.apache.shiro.SecurityUtils; 4 import org.apache.shiro.authc.IncorrectCredentialsException; 5 import org.apache.shiro.authc.UnknownAccountException; 6 import org.apache.shiro.authc.UsernamePasswordToken; 7 import org.apache.shiro.config.IniSecurityManagerFactory; 8 import org.apache.shiro.util.Factory; 9 //java.lang中有SecurityManager的包,需要改成Apache的 10 import org.apache.shiro.mgt.SecurityManager; 11 import org.apache.shiro.subject.Subject; 12 13 public class UserRealmDemo { 14 15 public static void main(String[] args) { 16 // 1、创建SecurityManager工厂,读取相应的配置文件 17 Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini"); 18 // 2、通过SecurityManager工厂获取SecurityManager的实例 19 SecurityManager securityManager = factory.getInstance(); 20 // 3、将securityManager对象设置到运行环境中 21 SecurityUtils.setSecurityManager(securityManager); 22 // 4、通过SecurityUtils获取主体Subject 23 Subject subject = SecurityUtils.getSubject(); 24 // 5、加入登录的用户名zhangsan和1111,这个地方的zhangsan和1111表示用户登录时输入的信息 25 // 而shiro.ini文件中的信息相当于数据库中存放的信息 26 // UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "111"); 27 UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "1111"); 28 try { 29 // 6、进行用户身份验证 30 subject.login(token); 31 // 7、通过subject来判断用户是否通过验证 32 if (subject.isAuthenticated()) { 33 System.out.println("验证通过"); 34 } 35 } catch (UnknownAccountException e) {// AuthenticationException为父异常 Ctrl+T看子异常 36 System.out.println("用户名/密码不正确"); 37 } catch (IncorrectCredentialsException e) {// AuthenticationException为父异常 Ctrl+T看子异常 38 System.out.println("用户名或密码不正确"); 39 } 40 41 System.out.println(subject.isPermittedAll("user:add","user:delete")); 42 } 43 }